Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos.

(1)

www.cuevavaliente.com

Herramienta para la gestión de Riesgos Deliberados

Físicos e Informáticos

(2)

Índice

1. ¿Por qué?

2. ¿Para qué?

3. Evolución

4. Metodología

5. Funcionamiento

6. Licencias y Servicios

7. Desarrollos planificados

(3)

La Seguridad ante riesgos de origen deliberado (Security) tiene un origen común: la voluntad de hacer daño a la empresa por agentes externos y/o internos.

El modo de hacerlo puede ser físico (Robos, atracos, sabotajes, etc.), lógico (Intrusiones informáticas, denegación de servicio, troyanos, etc.) o una combinación de ambos, pero el origen y el fin es el mismo.

3

(4)

Desde las instituciones, esta necesidad de hacer frente a las amenazas físicas y lógicas, ha sido abordada con la publicación de la Ley para la Protección de las Infraestructuras Críticas y la creación del Centro Nacional de Protección Infraestructuras Críticas.

Ley y organismo ven a la seguridad como un todo y no como la suma de dos ámbitos distintos, dando un impulso a la necesidad de tener planes de Seguridad Integral.

(5)

En este contexto, la elaboración de un análisis de riesgos es vital para hacer frente a las exigencias de la ley y de la sociedad.

GR2Sec ha sido desarrollado por profesionales en al ámbito de la Seguridad Integral para ayudar a las empresas a elaborar su

análisis de riesgos de Seguridad ante riesgos deliberados (Security) que den respuesta a las amenazas y necesidades de la sociedad actual.

Adaptado a las necesidades de Análisis de Riesgos de los Planes de Protección Específicos (PPE) a realizar por los Operadores Críticos según la Legislación PIC.

5

(6)

GR2Sec se centra en los riesgos deliberados, permitiendo a sus usuarios:

• Conocer sus riesgos

• Conocer el estado de sus medidas y controles de Seguridad

• Hacer benchmarking entre sus instalaciones y en el tiempo

• Planificar inversiones de Seguridad

• Gestionar con criterios armonizados la Seguridad Integral de acuerdo a las normas , ISO 31000 e ISO 27001.

• Realizar los Análisis de Riesgos de los Planes de Protección Específicos (PPE) según la Legislación PIC.

(7)

Principales ventajas de GR2Sec:

• Relación AR con Propuestas de Controles y Medidas Seguridad

• Enfoque integral, físico y lógico

• Apegado a estándares internacionales

• ISO 31000

• ISO 27001

• MAGERIT II

• AS/NZS 4640

• Permite ciclos PDCA’s de mejora continua en la gestión de riesgos

• Proporcionalidad de los controles de Seguridad propuestos

• Enfocado a estrategias de protección:

• Permite actualizar catálogos

• Permite adaptarse a los best practices del cliente

• Adaptable a usos y requerimientos de cada cliente

7

(8)

2007 2010 2015 GRSec 31000

ARG07

(9)

9

3.- Evolución GR2Sec

ARG07 _GRSec ₃₁₀₀₀ Conferencia Carnahan 2007 Ottawa, Canada 2010 2011 2014 SGSC 2007 2008 2009 2012 2013 Conferencia Enise 2011 León, España Conferencia Carnahan 2011 Mataró, España

(10)

• Acorde a la Guía de Buenas Prácticas para los Planes de Protección Específicos de la Legislación PIC.

• Integración de las metodologías más utilizadas.

4.- Metodología

• Esquema general.

• Propuesta de controles de ISO 27002.

• Identificación de activos.

• Lista de amenazas.

MAGERIT ISO 31000

• Esquema general.

• Análisis de Riesgos según AS/NZS 4360.

• Lista de amenazas y de Medidas de

(11)

Gestión de la Seguridad Cumplimiento LPIC

Seguridad Física ISO 31000 Seguridad Lógica ISO 27001

11 • ISO 31000 • ISO 27001 • ISO 27002 • MAGERIT II • AS/NZS 4360

Normativas Internacionales base:

Decisión y Compromiso

Diseño del Marco de Actuación del SGSF Implementación del SGSF Seguimiento y Revisión del SGSF Mejora continua del SGSF Plan del SGSI Mantenimiento y mejora del SGSI

Implementación del SGSI Seguridad de la Información gestionada Requerimientos de la Seguridad de la Información Planificación Implementación Medición Actuación MODELO SGSC

SGSC: Sistema de Gestión Corporativa de Seguridad Requerimientos Políticas SGSI: Sistema de Gestión de Seguridad de la Información SGSF: Sistema de Gestión de Seguridad Física Medición del SGSI

4.- Metodología

(12)

Planificación

Implementación

Medición Actuación

MODELO SGSC

SGSC: Sistema de Gestión Corporativa de Seguridad Requerimientos

Políticas

Gestión de la Seguridad Cumplimiento LPIC

(13)

Contexto Identificación Activos Identificación Amenazas Identificación Tiempos Identificación de Riesgos Análisis de Riesgos Probabilidad Inherente Impacto Nivel Riesgo Inherente Evaluación de Riesgos Situaciones de Riesgo Asignación Dimensiones Tratamiento de Riesgos PLAN DO Propuesta de Controles

Evaluación Controles Existentes

Nivel de Riesgo Residual

13

4.- Metodología

Agrupación de Riesgos Gestión de Riesgos

(14)

• A,B, C, D o E • Decisión: • Evitar o Eliminar • Transmitir • Aceptar • Mitigar • Dimensión Física • Confidencialidad • Integridad • Disponibilidad • Trazabilidad de Datos • Trazabilidad de Servicio • Autenticidad de Datos • Autenticidad de Servicio • Frecuencia histórica • Explotar vulnerabilidad • Nivel de Amenaza • Variables Seg. Física: • Atractivo • Vulnerabilidad • Según CMMI • Riesgos Físicos: • Cobertura • Nivel de implantación • Apego a mejores prácticas • Ámbitos afectados:

• Definidos internamente • Definidos por terceros (CNPIC) • Riesgos Físicos Deliberados:

• Delincuencia Ordinaria • Crímenes Agresivos y violentos • Terrorismo/Crimen Organizado • Riesgos Lógicos Deliberados

• Información/Datos • Personas • Software • Hardware • Dispositivos/soporte información • Comunicaciones • Instalaciones • Servicios Prestados • Terceros

4.- Metodología

CONTROLES EXISTENTES ACTIVOS IMPACTO DIMENSIONES SITUACIONES DE RIESGO AMENAZAS NIVEL DE RIESGO INTRÍNSECO PROPUESTA DE CONTROLES NIVEL DE RIESGO RESIDUAL MADUREZ DE CONTROLES PROBABILIDAD DE OCURRENCIA AGRUPACIÓN DE RIESGOS Afectan a: Producen: Reducen: Mitigar: TIEMPOS

(15)

15

5.- Funcionamiento GR2Sec

(16)

6.- Licencias y Servicios

Existirán dos opciones de implantación:

• En Cloud.

• En instalaciones del cliente.

Para ambas, existirán tres escalas de derechos de uso de licencia:

• Sencilla: 1 proyecto en una única ubicación y hasta 100 activos.

• Múltiple: Hasta 25 proyectos o un número menor hasta 2.000 activos.

• Ilimitada: Sin límite de proyectos ni de activos.

(17)

17

6.- Licencias y Servicios

EN CLOUD EN CLIENTE OPCIONAL

Personalización

Logo de cliente  

2 colores de fondo  

Tipo de letra a elegir de un repertorio de tipos de letra 

Lenguaje seleccionable: inglés o español  

Lenguaje seleccionable: otros 

Implantación

En PC o servidor mediante acceso remoto 

Adaptarse a login común 

Desplazarse físicamente a instalaciones 

Adaptarse a procedimiento de implantación/Seguridad 

Parametrización Aplicación vacía, sin datos iniciales  

Consultoría e introducción de datos por externos 

Formación Entrega de manual específico de la aplicación  

Formación presencial 

Mantenimiento

Notificación de actualizaciones de Seguridad  

Suministro de nueva versión al menos cada año  

Consultas en horario 8x5 

(18)

GR2Sec está en continua evolución, introduciendo mejoras y nuevas funcionalidades que se incorporarán en las sucesivas actualizaciones del producto.

Dentro de los futuros desarrollos ya planificados, se encuentran las siguientes mejoras:

• Multiproyectos que permiten el benchmarking o la comparación en el tiempo de una misma instalación.

• Introducción de datos en modo tabla.

• Modificación desde el perfil de administración de parámetros de inteligencia del sistema (asignación de dimensiones, asociación de controles a amenazas, etc.).

• Árboles de activos y anidamiento de impactos.

• Incorporación de nuevos gráficos de cuadros de mando

(19)

En el siguiente esquema se pueden observar los bloques de introducción, cálculo y muestra de datos de GR2Sec, y los próximos desarrollos: 19

7.- Desarrollos planificados

Contexto Tablas de amenazas, activos, dimensiones y controles Identificación Amenazas (listado) Generación columnas de Impacto Identificación de Riesgos Análisis de Riesgos Probabilidad Inherente Impacto Nivel Riesgo Inherente Evaluación de Riesgos Situaciones de Riesgo Asignación Dimensiones Propuesta de Controles y evaluación de los mismos en su

estado actual

Nivel de Riesgo Residual Agrupación de Riesgos Gestión de Riesgos y resultado de nivel de riesgo inherente Identificación Tiempos Identificación Activos

Niveles de Riesgo Inherente y Residual, con valoración de

controles

Cuadro de mando a medida de cada empresa

Motor de cálculo. Editable en el futuro Datos introducidos por consultor/usuario Datos calculados automáticamente Resultados mostrados + introducción de datos Resultados mostrados Resultados mostrados. Pendiente de desarrollo

(20)

Uno de los aspectos más importantes de GR2Sec es la presentación de información a los responsables de las áreas de Seguridad o Riesgos.

Dado que la información puede presentarse de diversas maneras, se prevé la generación de un cuadro de mando específico para cada cliente.

Esta adaptación se realizaría para los clientes que instalen en sus propios servidores la aplicación GR2Sec.

Aunque existirán opciones estándar para generar cuadros de mandos adaptados, existirá la posibilidad adicional de generar tablas y gráficos no previstos.

A continuación se muestran algunas de las opciones

(21)

21

MÁXIMOS NIVELES DE RIESGO, NECESIDADES DE CONTROLES Y MADUREZ, AGRUPADOS POR ACTIVOS

Max NR Inherente Max NR Residual Necesidad Controles Grado Madurez Cuarto Comunicaciones B MB M 3

Cuarto Comunicaciones no redundado M B M 3

Operadores MB MB M 4

Operadores críticos M B M 3

Pagos electrónicos MA MA A 3

Sala IT B MB M 3

Sala IT no redundada A M M 3

(22)

5 4 3 2 1 0 MA A M B MB N/A NR N ECE SID AD C ONT R OLE S GR AD O D E M AD UR EZ

Max. NR Inherente Max. NR Residual

MÁXIMOS NIVELES DE RIESGO, NECESIDADES DE CONTROLES Y MADUREZ, AGRUPADOS POR ACTIVOS

(23)

23 5 4 3 2 1 0 MA A M B MB N/A NR GR AD O D E M AD UR EZ

Max. NR Inherente Max. NR Residual Grado de Madurez

MÁXIMOS NIVELES DE RIESGO Y MADUREZ, AGRUPADOS POR ACTIVOS

(24)

MA A M B MB N/A NR

MÁXIMOS NIVELES DE RIESGO, AGRUPADOS POR ACTIVOS

(25)

25 MA A M B MB N/A NR

MÁXIMOS NIVELES DE RIESGO, AGRUPADOS POR ACTIVOS, CON APETITO DE RIESGO

APETITO DE RIESGO

NR Inherente NR Residual

M B

(26)

NÚMERO DE SITUACIONES DE RIESGO CON UNA COMBINACIÓN PROBABILIDAD-IMPACTO INHERENTES

Número de ocurrencias para una probabilidad inherente e impacto dados

Probabilidad Inherente Impacto

N M I MI G MG MB 20 15 33 14 5 0 B 0 0 23 2 11 1 M 0 0 0 6 3 0 A 0 0 0 0 3 19 MA 0 0 0 0 0 13

(27)

27 MG G MI I M N IM PA CT O MB B M A MA PROBABILIDAD INHERENTE 2 23 1 3 13 14 33 15 5 20 11 6 3 19

(28)

MG G MI I M N IM PA CT O MB B M A MA PROBABILIDAD INHERENTE 2 23 1 3 13 14 33 15 5 20 11 6 3 19 NIVEL DE RIESGO NR Máximo NR Mínimo Impacto Máximo Probabilidad Máxima A B G A

(29)

29 MG G MI I M N IM PA CT O MB B M A MA PROBABILIDAD INHERENTE

C

78 NIVEL DE RIESGO NR Máximo NR Mínimo Impacto Máximo Probabilidad Máxima A B G A

B

20

A

35

E

35

(30)

NÚMERO DE SITUACIONES DE RIESGO CON UN NIVEL DE RIESGO DADO, AGRUPADO POR AÑO

Número de ocurrencias para un NR dado, inherente y residual año a año

NR Riesgo

inherente

Riesgo Residual (año)

2015 2016 2017 2018 MB 86 122 122 122 122 B 37 9 17 27 30 M 9 6 8 13 15 A 22 23 20 5 0 MA 13 7 0 0 0

(31)

31

MA A M B MB OC UR RENCIAAS D E CAD A N R Inherente 2015 2016 2017 2018 NR INHERENTE / AÑO ANALIZADO DE NR RESIDUAL

6 122 7 13 15 22 9 37 13 86 23 8 20 5 27 9 122 122 122 30 17

(32)

NÚMERO DE SITUACIONES DE RIESGO CON UN NIVEL DE RIESGO DADO, AGRUPADO POR AÑO 140 120 100 80 60 40 20 0 OCUR REN CI AAS D E CAD A N R Inherente 2015 2016 2017 2018 NR INHERENTE / AÑO ANALIZADO DE NR RESIDUAL

6 122 7 13 15 22 9 37 13 86 23 8 20 5 27 9 122 122 122 30 17 MB B M A MA

(33)

33

140 120 100 80 60 40 20 0 OCUR REN CI AAS D E CAD A N R Inherente 2015 2016 2017 2018 NR INHERENTE / AÑO ANALIZADO DE NR RESIDUAL

6 122 7 13 15 22 9 37 13 86 23 8 20 5 27 9 122 122 122 30 17 MB B M A MA

(34)

GRÁFICOS DE BARRAS DINÁMICOS 140 120 100 80 60 40 20 0 OC UR RENCIAAS D E CAD A N R NR Inherente NR Residual Datos para todos los activos, dimensiones y amenazas, para tiempo T1

6 7 22 9 37 13 86 23 122 17 MB B M A MA

SITUACIÓN DE RIESGO A MOSTRAR

Activo Tiempo Amenaza Dimensión

TODOS TODOS TODAS TODAS AGRUPAR AGRUPAR AGRUPAR AGRUPAR Cuarto Comunicaciones T1 Robo Física

Cuarto Comunicaciones no redundado Hurto Disponibilidad Operadores Integridad Operadores críticos Confidencialidad

DATO A MOSTRAR

Ocurrencias de niveles de NR Inherente NR inherente

(35)

MB B M A MA 35

INDICADORES PUNTUALES Y/O GLOBALES DEL ANÁLISIS DE RIESGO

8.- Ejemplos de cuadros de mando

MB B M A MA MB B M A MA M MA MB B A Apetito de riesgo NR Actual M MA MB B A Apetito de riesgo NR Actual MB B M A MA NR Residual medio NR Residual respecto apetito de riesgo

MB B M A MA

Se considera la posibilidad de incluir indicadores de datos puntuales o de datos globales del sistema mediante termómetros, barras o gráficos de tipo velocímetro.

Como posibles datos a mostrar, se podrían considerar, entre otros:

• NR residual medio

• NR respecto a apetitos de riesgo

• Nivel de amenaza actual

• Nivel medio de madurez de controles M MA MB B A Apetito de riesgo NR Actual Sala IT no redundada Sala IT Pagos electrónicos Operadores NR Actual NR Actual NR Actual NR Residual medio NR Residual medio

(36)